Zahlreiche Schwachstellen in PHP
Durch mehrere Schwachstellen in der Skript-Sprache PHP kann ein Angreifer eigenen Code auf einen Server schleusen und ausführen. Nach Angaben von Stefan Esser lassen sich einige der insgesamt sieben Lücken nur mit einem gültigen Nutzerkonto ausnutzen, ein
2004-12-16 00:00:00 2004-12-16 00:00:00 admin
So ist beispielsweise in der Funktion pack() ein Integer Overflows enthalten, mit der ein Angreifer die Restriktionen des Safe Modes umgehen kann. Durch einen Integer Overflow in unpack() lassen sich unter Umständen Teile des Speichers, etwa des Apache-Prozesses auslesen. Auch ist die Funktion realpath() fehlerhaft, sodass man beispielsweise mit zu langen Pfadangaben auf bestimmten Betriebssystemen auf beliebige Skripte verweisen kann (include). Am kritischsten sind zwei Fehler in unserialize(), die in Kombination miteinander Zugriffe auf ungemappten Speicher gewähren und so das Einschleusen und Ausführen von Code über das Netzwerk erlauben. Laut Esser genügt dazu eine bestimmte Zeichenkette. PHP-Applikationen wie phpBB2, Invision Board, vBulletin und viele andere sind somit angreifbar, da sie Cookies über diese Funktion in ein eigenes Format übertragen. Nähere Angaben dazu sind dem Original-Advisory zu entnehmen.
http://www.heise.de/
Erfahrungen
Hier Kannst Du einen Kommentar verfassen
Verwandte Beiträge
Abmahnwelle durch Google Fonts - was ist zu beachten und wie schütze ich mich?
Eine Abmahnwelle wegen Google Fonts rollt derzeit durch das Land und verunsichert viele Betreiber von Webseiten. Ausschlaggebend hierfür war ein Urteil des Landgerichts München vom 20.01.2022. ...
Autor :
ebiz-consult GmbH & Co. KG
Kategorie:
Dies und Das
Intel und Digitales TV mit HTML-Daten
Quelle:PC Magazin News vom 11.04.2000 Intel will das Fernsehen mit HTML-Daten verbinden. Lizenzen soll es fuer die TV-Anstalten von Intel umsonst geben. Intel will die Fernsehanstalten naeher ans digitale und ineraktive Fernsehen bringen. Das Unternehm ...
Autor :
admin
Kategorie:
Software & Web-Development
Internet Explorer hat Sicherheitslücke in JavaScript
Sicherheitsexperte rät von der Benutzung des Internet Explorer ab Kaum zwei Tage ist das neue Jahr alt und schon sorgt eine Sicherheitslücke im Internet Explorer für Aufsehen. Dieses Sicherheitsloch kann bei der Ausführung von JavaScript-Code dazu ...
Autor :
admin
Kategorie:
Software & Web-Development
werzahlt.de geht online! Affili-Angebote für Webmaster
http://www.werzahlt.de ist seit Wochenende online. Klickt euch mal rein! Für Webworker und Webmaster. Hier findet Ihr die besten Affili-Angebote. ...
Autor :
admin
Kategorie:
Software & Web-Development
Projektmanagement Damals und Heute
Werfen Sie einen Blick auf das, was sich verändert hat, und entdecken Sie, wo die Zukunft dieses Gebietes hinsteuert. ...
Autor :
admin
Kategorie:
PHP Magazin
Neues PHP Buch erschienen
"Web Application Development with PHP 4.0" kann seit dem 14. Juli bestellt werden. Ein Buch von Tobias Ratschiller und Till Gerken. ...
Autor :
admin
Kategorie:
Software & Web-Development